CVE-2025-34256 in WISE-DeviceOn Server
요약
\~에 의해 VulDB • 2026. 06. 01.
Advantech WISE-DeviceOn Server 5.4 이전 버전에는 하드코딩된 암호화 키 취약점이 존재합니다. 이 제품은 모든 설치 환경에서 EIRMMToken JWT 서명에 정적 HS512 HMAC 비밀키를 사용합니다. 서버는 유효한 이메일 클레임만 포함하면 되는 위조된 JWT를 수락하므로, 원격 비인증 공격자가 임의의 토큰을 생성하고 루트 슈퍼 어드민을 포함한 모든 DeviceOn 계정을 사칭할 수 있습니다. 성공적인 익스플로잇을 통해 DeviceOn 인스턴스에 대한 전체 관리 권한을 획득할 수 있으며, 이를 통해 DeviceOn의 원격 관리 기능을 이용해 관리 대상 에이전트에서 코드를 실행할 수 있습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.